ネットワーク絡みのトラブルが発生した際、実際にネットワークを流れている生のデータの内容を調べるのはトラブル対策として有効である。

例えば、トラフィックが急増してネットワークが混雑した時、ネットワークを行き来しているフレームあるいはパケットの内容を調べることで、どのような種類のトラフィックが増えているのかを把握できる。そうすることで、原因の究明や対処が容易かつ迅速になると期待できる。そこで登場するツールが、Microsoft Network Monitorである。

もちろん、Microsoft Network Monitorが表示する情報を正しく理解するには、EthernetやTCP/IP、あるいはその上で動作するさまざまなプロトコルに関する知識が必須である。ネットワークプロトコルに関する学習を必要とする分だけ手間はかかるが、トラブルが発生時の迅速な問題解決という見返りにつながる。ここは1つ、頑張ってプロトコルの学習を行って、Microsoft Network Monitorの基本的な使い方を知っておけば、必ず役に立つことだろう。

Microsoft Network Monitorを利用するメリット

もともと、Windowsサーバには自機を出入りするフレームをキャプチャする「ネットワークモニタ」があるが、それより高機能なツールとしてMicrosoftダウンロードセンターで提供しているのが、Microsoft Network Monitorである。生憎と英語版だが、然るべき知識を持った管理者しか使わないツールだから問題になることは少ないだろう。

Microsoft Network Monitor 3.4
http://www.microsoft.com/download/en/details.aspx?id=4865

IA64版・x64版・x86版があるので、ダウンロードの際は間違えないように注意したい。

Microsoft Network Monitorを動作させるには、システム管理者権限が必要である。管理者権限がないとフレームのキャプチャができないためだ。

Windows Vista/7では、起動時にショートカットの右クリックメニューを使って、管理者として実行するように指示するか、あるいは実行に使用するショートカットのプロパティを変更して管理者の資格で実行するように設定する。後者のほうが煩雑ではなく、オススメである。

ところで、Microsoft Network Monitorでキャプチャできるのは、Microsoft Network Monitorが動作しているコンピュータに取り付けられたLANアダプタを通じて出入りするフレームである。だから、他のコンピュータがやり取りしているフレームをキャプチャするには、スイッチングハブの設定を変更して、Microsoft Network Monitorが動作しているコンピュータを接続しているポートにフレームを転送させる必要がある。

常に管理者権限で実行しなければならないものなので、ショートカットのプロパティを変更しておくと便利だ

フレームのキャプチャと内容の確認

Microsoft Network Monitorでフレームのキャプチャを行うには、最初に画面左上隅・メニューバーの下にある[New Capture]をクリックする。すると画面表示が切り替わるので、ツールバーの右向き三角ボタン([Start]ボタン)をクリックする。すべてのフレームを対象としてキャプチャ作業を開始する。

そして、キャプチャ中にツールバーの[■]ボタン([Stop]ボタン)をクリックすると、キャプチャを停止する。

最初に、[New Capture]をクリックする

ツールバーの右向き三角ボタン([Start]ボタン)をクリックすると、キャプチャを開始する。また、ツールバーの[■]ボタン([Stop]ボタン)をクリックすると、キャプチャを停止する

キャプチャを行うと、画面の右半分にキャプチャしたフレームに関する情報を表示する。画面は三段構成になっており、そのうち中段に表示している情報が、Ethernetや無線LANのフレームの情報である。ここでは、フレームごとに1行ずつを使って表示しており、そこでクリックして選択したフレームに関する情報を、画面のうち下段に表示する仕組みである。

また、下段の左側で[+][-]をクリックすると、ネットワーク階層ごとにツリーを展開して、プロトコルのヘッダ情報を確認できる。

右ペインの中央には、フレーム1個に対し1行で基本的なデータを表示している。クリックしたものは下段に内容が表示される。これはEthernetフレームの情報を表示している状態

IPのバージョン情報や、TTL(Time to Live)などの情報を表示している様子がわかる

TCPに関連する情報を表示している状態。ポート番号やフラグ、セグメント番号などを確認できる

フラグについて、さらにツリーを展開して詳細な情報を確認しているところ

HTTPの情報を表示している状態。HTTPコマンド、バージョン、UserAgentなどの情報を確認できる

便利なのは、画面の左側にあるアプリケーションソフトごとのツリー画面だ。特定アプリケーションソフトに関わるトラフィックだけを集中的に調べたい時、このツリー画面で目的のアプリケーションソフトを選択することで、キャプチャしたフレームに対する絞り込みが可能だ。

左側のツリー画面でアプリケーションソフトを選択すると、そのアプリケーションソフトに関わるフレームだけを絞り込み表示されるのは便利

フィルタ機能と保存機能

Microsoft Network Monitorにはフィルタ機能もあって、特定の条件に合うフレームだけを調べることもできる。

メニューバーで[Filter]-[Display Filter]-[Load Filter]-[Standard Filters]とメニューを展開していくと、IPアドレスをはじめとするさまざまな条件が枝分かれしており、その中からフィルタリングの条件に使用したいものを選択する。すると、対応する内容のコマンドが画面右側・最上部の枠内に自動的に書き込まれる仕組みだ。

そのフィルタコマンドについて、[Save Filter]を使って保存したり、[Load Filter]を使って保存済みフィルタを呼び出したり、といったこともできる。設定をやり直したければ、下の2枚目の画面で右上隅にある[Clear Text]をクリックすればよい。

[Filter]-[Display Filter]-[Load Filter]-[Standard Filters]以下のサブメニュー

書き込まれたフィルタコマンドの例(IPアドレスを条件に指定)

また、Microsoft Network Monitorを終了する際に、キャプチャに関する設定とデータを保存するかどうかを訊ねてくるので、そこで保存を指示すれば、後から呼び出して再利用することもできる。起動直後の画面で[New Capture]の隣にある[Open Capture]をクリックするか、[File]メニュー以下の[Open]-[Capture]を選択する方法で、保存したキャプチャ設定/データの呼び出しが可能だ。